1 Temat przez nomek

  • nomek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2020-05-11
  • Posty: 3

Temat: Dostęp do sieci za klientem OpenVPN

Najpierw witam wszystkich jako że to mój pierwszy post.
Problem mam następujący:
- używam Domoticza zainstalowanego na VPS - Ubuntu 18.04 - oraz serwer OpenVPN-a
- do tego podpinam klienta OpenVPNa na TP Linku z OpenWRT 19.07
- klient łączy się bez problemu i mogę przekierować cały ruch przez tunel jednak nie do końca... otóż nie mogę pingować czy też dostać się do komponentów za klientem z serwera.
Podejrzewam że to dlatego iż np PC za klientem czy też sam router w adresacji LAN odpowiadają na ping ale nie przez tun0 a przez WAN.
Ręce mi już opadają i nie wiem jak to ugryźć. Pokusiłem się nawet o reset do 0 i konf od zera ale nie pomogło.
Konfiguracja serwera OpenVPN-a:

local X.X.X.X
port 11194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
route 192.168.7.0 255.255.255.0
route 192.168.5.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
client-config-dir ccd
client-to-client
topology subnet
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem
explicit-exit-notify
comp-lzo
max-clients 10


Serwer prawidłowo dodaje routy:
default via X.X.X.X dev enp1s0 proto dhcp src X.X.X.X metric 100
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1
X.X.X.X/20 dev enp1s0 proto dhcp scope link src X.X.X.X metric 100
X.X.X.X/20 dev enp1s0 proto kernel scope link src X.X.X.X
X.X.X.X/20 dev enp1s0 proto dhcp scope link src X.X.X.X metric 100
169.254.169.254 via X.X.X.X dev enp1s0 proto dhcp src X.X.X.X metric 100
192.168.5.0/24 via 10.8.0.2 dev tun0
192.168.7.0/24 via 10.8.0.2 dev tun0

Konfiguracja klienta:
client
dev tun
proto udp
remote X.X.X.X 11194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
comp-lzo
verb 3


routy na kliencie:
root@OpenWrt:/etc/openvpn# ip ro
0.0.0.0/1 via 10.8.0.1 dev tun0
default via 192.168.3.1 dev eth0.2  src 192.168.3.20
10.8.0.0/24 dev tun0 scope link  src 10.8.0.2
X.X.X.X via 192.168.3.1 dev eth0.2   i właśnie to mi się nie podoba
128.0.0.0/1 via 10.8.0.1 dev tun0
192.168.3.0/24 dev eth0.2 scope link  src 192.168.3.20
192.168.7.0/24 dev br-lan scope link  src 192.168.7.1

Firewall na kliencie:
config zone
        option name 'tun0'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option masq '1'
        option output 'ACCEPT'
        option network 'tun0 lan'
        option mtu_fix '1'

config forwarding
        option dest 'lan'
        option src 'tun0'

config forwarding
        option dest 'tun0'
        option src 'lan'

plus oczywiście domyślne po instalacji.

network na kliencie:
config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fde6:53be:4959::/48'

config interface 'lan'
        option type 'bridge'
        option ifname 'eth0.1'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '192.168.7.1'

config interface 'wan'
        option ifname 'eth0.2'
        option proto 'dhcp'

config interface 'wan6'
        option ifname 'eth0.2'
        option proto 'dhcpv6'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '1 2 3 4 5t'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '0 5t'

config interface 'tun0'
        option proto 'none'
        option ifname 'tun0'


Chodzi o to że Domoticz z adresu X.X.X.X ma się komunikować z ESP8266 w sieci za klientem OpenVPN-a - ESP mają adresy w sieci 192.168.7.x
Tcpdump na kliencie - interface tun0 pokazuje przychodzące pingi:
00:20:12.362540 IP X.X.X.X> 192.168.7.50: ICMP echo request, id 2520, seq 3, length 64
00:20:13.375724 IP X.X.X.X > 192.168.7.50: ICMP echo request, id 2520, seq 4, length 64

ale odpowiedzi idą przez eth0.2

tcpdump -i eth0.2

00:22:00.442903 IP 192.168.7.50 > X.X.X.X: ICMP echo reply, id 2529, seq 13, length 64

Zupełnie nie wiem gdzie jest błąd..... dodam że pingi przychodzą z VPS z nazwą hosta a nie adresem ale to chyba nie problem.... chociaż odpowiedź idzie zgodnie z routingiem na kliencie X.X.X.X via 192.168.3.1 dev eth0.2   i właśnie to mi się nie podoba bo przychodzi przez tunel a odpowiada WANem i w życiu się to nie zgra.

2 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Dostęp do sieci za klientem OpenVPN

Po trasach na kliencie widać że on ma na WANie adres z innej sieci LAN 192.168.3.0/24 z bramą 192.168.3.1 i co Ci się nie podoba skoro tak go podłączyłeś?
Klient może być dowolnie podłączony.

Skorzystaj z poradnika Cezarego i nie wymyślaj własnych konfigów skoro już ktoś to opracował. Zaoszczędzisz czasu i nerwów smile

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

3 Odpowiedź przez nomek

  • nomek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2020-05-11
  • Posty: 3

Odp: Dostęp do sieci za klientem OpenVPN

Hmm A co to ma do rzeczy? że ma adres na WAN z innej sieci LAN?
Stoi sobie po prostu gdzieś w sieci i nie powinno to mieć żadnego wpływu - jak już to traktuj to kolego jako jego WAN i tyle
i może się zdziwisz ale jest to według poradnika, trzepane nie raz i nie dwa włącznie z reinstalem.
Ten router ma się łączyć tunelem i udostępniać komponenty w swojej sieci LAN dla serwera OpenVPN-a i tyle a że nie chce mi to zaskoczyć to podpytuję.

4 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: Dostęp do sieci za klientem OpenVPN

Moim zdaniem konfig serwera jak i klienta jest prawidłowy.
Adres X.X.X.X to adres publiczny, więc gdy klient otrzyma ping z FQDN Ubuntu to rozwiązuje nazwę adresem publicznym stąd odpowiedź idzie na bramę domyślną przez eth0.2 a nie przez openvpn (interfejs tun).
Należałoby dodać rekord A do DNSa (lub wpis do /etc/hosts) z przypisanym FQDNem ubuntu do adresu w tunelu openvpn (10.8.0.2) - nie będzie to przeszkadzać, dopóki klient będzie łączył się z serwerem openvpn po adresie IP.
Dodatkowo dodałbym client-config-dir tak, aby klient zawsze dostawał 10.8.0.2 w tunelu (ifconfig-push w pliku ccd na serwerze).

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

5 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Dostęp do sieci za klientem OpenVPN

nomek napisał/a:

...jak już to traktuj to kolego jako jego WAN i tyle
i może się zdziwisz ale jest to według poradnika, trzepane nie raz i nie dwa włącznie z reinstalem.
...

1. Ale po co się tak denerwować. Tylko zadałem pytanie co Ci się nie podoba w trasach. I tyle.
2. Zdziwiłem się baaardzo jak zobaczyłem, że robisz maskaradę dla strefy "lan"

nomek napisał/a:

...Firewall na kliencie:
config zone
        option name 'tun0'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option masq '1'
        option output 'ACCEPT'
        option network 'tun0 lan'
        option mtu_fix '1'

Można prosić o linka gdzie jest taki poradnik dla klienta OpenVPN dla Openwrt?

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

6 Odpowiedź przez nomek

  • nomek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2020-05-11
  • Posty: 3

Odp: Dostęp do sieci za klientem OpenVPN

Przepraszam za długie milczenie ale inne sprawy itd...
Co do masq to pewnie ostało się walce ale już tego nie ma.
config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'tun0'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option output 'ACCEPT'
        option mtu_fix '1'
        option masq '1'

config forwarding
        option src 'lan'
        option dest 'tun0'

config forwarding
        option src 'tun0'
        option dest 'lan'

config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'

config forwarding
        option src 'lan'
        option dest 'wan'


Nazwa w /etc/hosts również wpisana:

127.0.0.1 localhost
10.8.0.1        xx.xxx.xxx.pl
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

ale nic to nie zmienia odpowiedzi na ping wysyłane są WANem a nie przez TUN mimo iż przychodzą z wpisanej nazwy. Ping po nazwie idzie prawidłowo:

PING xx.xxx.xxx.pll (10.8.0.1): 56 data bytes
64 bytes from 10.8.0.1: seq=0 ttl=64 time=38.602 ms
64 bytes from 10.8.0.1: seq=1 ttl=64 time=61.199 ms
64 bytes from 10.8.0.1: seq=2 ttl=64 time=69.467 ms

ale odpowiedzi na pingi z servera openvpn już lecą na WAN (eth0.2) 
routy bez połączonego vpn-a wyglądają tak:
root@OpenWrt:/etc/config# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.3.1     0.0.0.0         UG    0      0        0 eth0.2
192.168.3.0     *               255.255.255.0   U     0      0        0 eth0.2
192.168.7.0     *               255.255.255.0   U     0      0        0 br-lan


a z połączonym tak:


root@OpenWrt:/etc/config# route
Kernel IP routing table
Destination            Gateway         Genmask         Flags Metric Ref    Use Iface
default               dedicated-ain10 128.0.0.0       UG    0      0        0 tun0
default                192.168.3.1     0.0.0.0         UG    0      0        0 eth0.2
10.8.0.0                   *               255.255.255.0   U     0      0        0 tun0
X.X.X.X              192.168.3.1     255.255.255.255 UGH   0      0        0 eth0.2
128.0.0.0       dedicated-ain10 128.0.0.0       UG    0      0        0 tun0
192.168.3.0             *               255.255.255.0   U     0      0        0 eth0.2
192.168.7.0             *               255.255.255.0   U     0      0        0 br-lan
root@OpenWrt:/etc/config#

no i to cały problem.
A ja już zupełnie nie wiem jak to ugryźć.